Este artigo visa desmistificar a adoção de uma política de
segurança de informação em pequenas e medias empresas, quebrando assim o
paradigma que a adoção dessas praticas somente são necessárias em grandes
organizações.
O objetivo da segurança da informação está diretamente
relacionado com a proteção de dados da empresa, colaboradores, clientes e
parceiros. A informação que é gerada, seja por um sistema informatizado ou não
é tão importante quanto a qualidade de seus produtos e serviços, porem na visão
dos pequenos empresários acaba não sendo importante ao primeiro momento.
O conceito de segurança da informação é regido pela norma
ISO/IEC 17799:2005 que resumidamente tem por objetivo garantir a
confidencialidade, integridade e disponibilidade das informações seguindo uma
série de procedimentos e recomendações.
Para uma implantação de uma Política de Segurança em PMEs,
deveremos primeiramente analisar o âmbito de alcance da política de segurança
(física e lógica), complexidade de sua implantação e seu custo. Toda e qualquer
mudança num ambiente corporativo, independente do tamanho que ele for, deve ter
o total apoio da equipe gerencial da empresa e de todas as pessoas envolvidas
no processo.
O documento que irá definir a política de segurança não
deverá conter técnicos, cabendo essas informações somente serem divulgadas ao
pessoal técnico envolvido. Deve também ser feito um trabalho de divulgação de
tal política, fixando o documento em murais, enviando via e-mail, alem de
apresentações e palestras informando o motivo da adoção da política e seus
benefícios para a empresa e os próprios colaboradores envolvidos.
Segurança Lógica
Estudo mostra que 48% das empresas brasileiras já perderam
algum tipo de dado confidencial ou proprietário nos últimos anos.
O Relatório Symantec (www.symantec.com.br) no primeiro
semestre de 2010 sobre Segurança da Informação nas Empresas mostra que as
empresas da América Latina perdem mais de US$ 500 mil por ano em decorrência de
ataques virtuais. Outra pesquisa da Qualibest (www.qualibest.com.br) apontou
que mais de 85% dos funcionários no Brasil usam a internet da empresa para fins
pessoais. Desses, quase 80% usam o e-mail pessoal durante o expediente, mais de
60% fazem pesquisas pessoais em sites de busca, mais de 50% fazem operações com
internet banking e cerca de 15% utilizam a conexão com a internet da empresas
para download de músicas, jogos e outros downloads de interesses pessoais.
Com esses dados estáticos fica mais que comprovado o risco
que a empresa corre disponibilizando seus ativos e recursos para que o
colaborador utilize-o de forme errônea. Uma campanha de conscientização as
vezes não se torna eficiente sem algumas medidas para coibir esses atos como:
·
Adoção de Politicas de Senhas de acesso aos ativos da empresa
·
Restrições e bloqueios na utilização da internet, através de
Proxy, por exemplo
·
Implantar normas de utilização ou bloqueios de Instant Messenger
·
Instalação e atualização de uma solução ant-virus/spyware
confiável
Certamente haverá um desagrado por parte dos colaboradores
da empresa com todas essas restrições impostas, ai que deve entrar o trabalho
do gestor e lideres, com palestras e explicações das necessidades de tais
medidas.
Segurança Física
Podemos considerar ameaças físicas tudo aquele/aquilo que
pode danificar o equipamento informático, impossibilitando assim o acesso a
informações nele contido como, incêndios, terremotos, relâmpagos, alagamentos,
forma inadequada de manuseio ou instalação e acesso de pessoal não autorizado
ao equipamento.
Hoje com a difusão de dispositivos portáteis de
armazenamento isso se tornou uma preocupação a mais para os administradores.
Por exemplo qualquer pessoa tem acesso fácil e barato a Pendrives, que podem
ser utilizados para copiar informações confidenciais da empresa e
descarregá-las em qualquer lugar e utilizadas como a pessoa bem entender.
Isso pode ser simplesmente evitado, não permitindo a entrada
de dispositivos de armazenamento móvel nas dependências da empresa, alem do
bloqueio das portas USBs das estações de trabalho, podendo isso feito pelo
próprio Sistema Operacional ou através de Software de terceiros.
Deverá também ser procedimentos de backups das informações
essenciais para a empresa como, planilhas, documentos, banco de dados, e-mails
e etc. Esses backups podem ser agendados em horários e períodos pré-definidos e
de forma automática para garantir sua eficiência e sempre que possível em uma
outra mídia e/ou local, por exemplo, nuca salvar um backup de um banco de dados
no próprio servidor onde o banco de dados esta alocado, procure sempre salvar
em outros equipamentos e/ou mídias (HDs, DVDs, Fitas DAT e etc).
Custo
Sempre quando se fala em soluções em segurança da informação
se imagina um gasto exorbitante com equipamentos, pessoal qualificado,
treinamento do pessoal envolvido e etc. Isso esta completamente correto! Quando
tratamos de empresas de grande porte.
Para as PMEs políticas de segurança podem ser implantadas
com pequenas aquisições de software, uma consultoria eficiente de um
profissional especializado e o mais importante, a re-educação dos colaboradores
da empresa.
Afinal quanto vale a informação de sua empresa? Sua carteira
de clientes? Seus melhores fornecedores?
Colocando na ponta do lápis todos esses fatores, vale a pena
o investimento. Felizmente algumas empresas já enxergaram essa necessidade e
viram que a informação gerada por ela e seus funcionários se não é o bem mais
precioso da empresa certamente fica próximo a isso, e que adotar medidas para disponibilizar
de forma segura e integra essas informações é de suma importância.
Case
Uma PME do interior do estado de São Paulo, apesar de seu
tamanho “pequeno” e com o quadro de funcionários de apenas 20 colaboradores
atuando no fornecimento de equipamentos para controle de insetos e pragas para
industrias do ramo alimentício, atendendo clientes nacionais e multinacionais
no segmento.
A empresa possuia um técnico em informática que era
encarregado de toda a parte de infra-estrutura de rede, desenvolvimento do
software de gestão, alem de funções administrativas. Por questões internas o
funcionário teve que ser desligado da empresa, ficando assim a organização desamparada
de toda a parte de TI. Devido a grande preocupação com o nível do acesso que o
ex colaborador tinha, o Diretor-Proprietário resolveu contratar uma empresa
terceirizada para que assumissem toda a parte de Desenvolvimento do Software de
Gestão e também para uma Consultoria para a parte de Segurança e
Infra-Estrutura.
Foi encontrado um cenário totalmente a quem deveria estar:
senhas idênticas para todos os usuários, rede física e lógica totalmente fora
dos padrões, inexistência de um servidor para gerenciamento dos arquivos e
internet, softwares antivírus mal configurados e desatualizados, nenhuma regra
de utilização da rede e dos ativos da empresa.
O foco inicial da empresa contratada foi elaborar um plano
emergencial para garantir que o antigo colaborador não tivesse mais acesso
remoto as informações que antes tivera acesso.
Foi proposto então o processo em 4 fases:
A primeira fase (segurança lógica) foi a troca de todas
senhas (softwares internos, sites, e-mails, internet banking) e a elaboração de
senhas “seguras” para todos os outros colaboradores, implantação de um sistema
de firewall e detecção de intrusão, com a regra, “Block ALL”, bloqueando todo
os acessos a Internet e só liberando o necessário para o andamento do trabalho.
A segunda fase (segurança lógica) foi a implantação de um
sistema de rede estruturado em Cliente / Servidor, um sistema de Proxy fazendo
todo o bloqueio e monitoramento dos acessos a sites, ferramentas para controle
de Instant Messenger, implantação de um software antivírus adequado para as
necessidades da empresa, levantamento e inventario dos ativos de TI da empresa só
permitindo a esses acesso ao ambiente da rede da empresa e documentação da rede.
A terceira fase (segurança física) foi expressamente proibida
a entrada do ex colaborador nas dependências da empresa.
A quarta fase (segurança física e lógica) foi a elaboração
do documento de Política de Segurança da Informação e Utilização dos Ativos. Após
a divulgação e a ciência de todos os colaboradores das novas regras, ai sim,
foram aplicadas todas as restrições e monitoramento a Sites e de toda a
informação que entra e sai na empresa.
Somente adotando essas medidas emergenciais a empresa pode assegurar
que o antigo colaborar que antes tinha acesso irrestrito as informações,
incluindo remotamente, seria impossibilidade de continuar o tendo, garantindo
assim a confidencialidade, integridade e disponibilidade das informações de
mais de 15 anos de existência da empresa.
Hoje a empresa se encontra com uma política de segurança
definida, com toda sua rede física e lógica estruturada em normas e padrões
internacionais (ISO/IEC), servidores com alta disponibilidade, sistema de
firewall e contenção de intrusão e política de backup de todos os dados vitais
para a empresa.
Tais mudanças alem de garantir o bom andamento do trabalho
desenvolvido pela empresa, também irão auxiliar em sua certificação de
Qualidade Total ISO 9000, garantindo de forma informatizada e segura toda a
rastreabilidade dos processos de produção, compra, venda e etc.
Fica a pergunta: Qual o valor da informação gerada por sua
empresa?
Pessoal, no meu próximo artigo irei abordar o tema:
Monitoramento de Sites e Messenger no ambiente corporativo, é invasão de
privacidade?
Até a próxima!